Троян Backoff, использующийся для заражения PoS-устройств, стало сложнее обнаруживать и анализировать. Об этом сообщает исследователь Fortinet Хон Кэй Чань (Hong Kei Chan) в блоге компании. Еще в августе представители Министерства внутренней безопасности и Компьютерной группы реагирования на чрезвычайные ситуации США предупреждали о существовании тяжелодетектируемого вредоносного ПО, нацеленного на PoS-устройства. Тогда специалисты ведомств обнаружили ряд уязвимостей, которые эксплуатировались киберпреступниками для получения доступа к платежным терминалам. Несмотря на предупреждения, этот вид вредоносного ПО до сих пор широко используется для взлома PoS-девайсов.
Исследователям Fortinet удалось заполучить новый вариант Backoff, который выдает себя за медиапроигрыватель (mplayerc.exe). Ранее вирус маскировался под Java-компонент, прописывающий себя в разделы автозагрузки системного реестра. Модифицированная версия вредоноса получила название Backoff ROM. В отличие от предыдущих версий, для саморазмножения вирус использует функцию WinExec вместо CopyFileA. Для усложнения процесса анализа названия функций переводятся в хешированные значения, которые расшифровываются отдельной функцией. Вдобавок к этому, Backoff ROM содержит “черный список” из 29 процессов, которые игнорируются вредоносом.
Похищенные данные платежных карт хранятся в зашифрованном файле locale.dat. Перед соединением с C&C-сервером вирус проверяет наличие файла, после чего расшифровывает его и пересылает через POST-запрос по порту 443. Трафик между сервером и вредоносом шифруется. Интересно, что новая версия Backoff не может перехватывать нажатия клавиш. Тем не менее, исследователи полагают, что такое изменение носит временный характер, и функционал кейлоггера вернется во вредонос уже в ближайшем времени. (Fortinet/NovostIT)